OVH Community, your new community space.

Zablokowanie używania portów dla danej aplikacji


no4b
20-12-2012, 21:26
"Tradycyjnie" się nie uda. Trzeba by grzebać w selinuksie.

desavil
20-12-2012, 20:28
Dzięki,
Chyba będę musiał pokombinować z tym lsof-em. Bo problem jest taki, że jaki¶ user może napisać tak± modyfikację, co będzie nasłuchiwała na wszystkich portach (specjalnie) co tym samym będzie mogło zaszkodzić innym usług±.

Miałbym też możliwo¶ć zablokowania wszystkich porów w systemie, a odblokowywanie tylko wybranych, jeżeli taka możliwo¶ć jest.

victor
20-12-2012, 20:08
To jest zablokowanie poł±czeń wychodz±cych dla użytkownika i nie ma nic do tematu


Pierwsza aplikacja która zacznie słuchać na porcie zajmie go i druga nie będzie w stanie na tym samym zacz±ć słuchać. Nie s±dze aby w chwili uruchomienia aplikacji mógłby¶ cokolwiek zablokować funkcjami wbudowanymi w linuxa. Możesz najwyzej sprawdzać lsof-em cyklicznie i killować i blokować nieużywane porty w poł przychodz±cych

mickula
20-12-2012, 17:32
Kod:
iptables -A OUTPUT -o eth0 -m owner --uid-owner username -j DROP
co¶ takiego chyba powinno zadziałać, nie testowałem.
tylko w tym przypadku aplikacje autoryzowane pod innym użytkownikiem niż inne.

desavil
20-12-2012, 16:33
Mam taki problem do rozgryzienia. W systemie jest dodany jeden użytkownik, który uruchamia aplikacje, one mog± mieć różne modyfikacje które pozwalaj± na uruchomienie danego, np. pluginu na niej na jakim¶ porcie. Problem jest w tym, że chciałbym nie tyle zablokować porty na ¶wiat/lokalnie ale w taki sposób, aby nawet jeżeli aplikacja uruchomi się z jakim¶ portem to inna aplikacja, której zezwalam na dany port może z niego korzystać i w systemie nie będzie konfliktu (że dany port jest zajęty ponieważ tamtej aplikacji nie zezwoliłem na używanie tego portu). Aplikacje s± głównie w Javie, tzn uruchamiam jedn± a ta może mieć modyfikacje w postaci nasłuchiwania na różnych portach.

Ma kto¶ jaki¶ pomysł w jaki sposób mógłbym takie zabezpieczenie zrobić?